Alan Cox er en av de mest kjente bidragsyterne til Linux-kjernen. Han er i dag ansatt hos Red Hat i Storbritannia og anses som en av de mest respekterte personene i det britisk åpen kildekodefellesskapet.
Under et foredrag for deltakerne av LinuxWorld-konferansen i London denne uken, advarte Cox om selvtilfredshet over sikkerheten i åpen kildekodeprosjekter.
Ifølge News.com brukes det nå betydelige beløp på å hacke seg inn i åpen kildekodesystemer, samtidig som at mange åpen kildekode-prosjekter på ingen måte er sikre.
- Det er mye penger som legges ned i sikkerheten, men situasjonen er verre, fordi det er mye penger som brukes på å knekke sikkerheten. Folk blir betalt for å bryte ned programvaresystemer, sa Cox.
- Uttalelser gjengis i media, slik som «åpen kildekode-programvare er sikrere, mer pålitelig og har færre feil». Dette er svært farlige erklæringer.
Problemet er at analyser av kvaliteten til åpen kildekode-prosjekter kun fokuserer på velkjente prosjekter. Cox mener at en analyse av 150 tilfeldige prosjekter fra SourceForge-samlingen ikke vil gi samme høye karakterer som Linux-kjernen ville gi.
- Det er bare noen prosjekter som har høy kvalitet - de som har godt ettersyn av koden og de som har flinke programmerere, sa Cox.
Cox er også kritisk til prosjektet som skal måle kvaliteten til åpen kildekode, Software Quality Observatory for Open Source Software (SQO-OSS), som ble lanserte denne uken og finansieres av EU. Han mener det metriske ikke må bli målene.
- Det er fint å opprette metriske mål, og SQO-OSS har et stort potensial. Men det er er problemer med dette, og det risiko knyttet til denne metodelæren.
- Hvis du arbeider med metriske mål og du har 14 feil, så fikser du de 13 enklere feilene å venter med den vanskelige. Dette skjer i dagens sikkerhetsverden, men det blir inneffektivt, mener Cox.
